JP2017062669A - Security control device, security control system, security control method, and program - Google Patents
Security control device, security control system, security control method, and program Download PDFInfo
- Publication number
- JP2017062669A JP2017062669A JP2015187953A JP2015187953A JP2017062669A JP 2017062669 A JP2017062669 A JP 2017062669A JP 2015187953 A JP2015187953 A JP 2015187953A JP 2015187953 A JP2015187953 A JP 2015187953A JP 2017062669 A JP2017062669 A JP 2017062669A
- Authority
- JP
- Japan
- Prior art keywords
- isolation
- quarantine
- unauthorized
- removal
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、内部ネットワークを保護するセキュリティ技術に関する。 The present invention relates to a security technique for protecting an internal network.
LAN(Local Area Network)などの内部ネットワークを保護するセキュリティ技術としては、従来、FW(Firewall:ファイアーウォール)装置、IDS(Intrusion Detection System:侵入検知システム)またはプロキシ(Proxy)サーバなどを用いて、不正な通信データの内部ネットワークへの侵入を遮断する境界セキュリティ技術が使用されてきた。 As security technology for protecting an internal network such as a LAN (Local Area Network), conventionally, using a FW (Firewall) device, an IDS (Intrusion Detection System) or a proxy server, Perimeter security technology that blocks intrusion of unauthorized communication data into an internal network has been used.
しかしながら、近年、マルウェアと呼ばれる不正なプログラムによる標的型攻撃が頻繁に発生しており、それに伴い、内部セキュリティ技術の更なる強化が求められている。なお、標的型攻撃を行うマルウェアに内部ネットワーク内の端末が感染すると、そのマルウェアが感染した端末によって、秘密情報が勝手に外部へ送信されるなどの不正な通信が行われたり、内部ネットワーク内の他の端末にもマルウェアを感染させてしまったりする。 However, in recent years, targeted attacks by malicious programs called malware frequently occur, and accordingly, further enhancement of internal security technology is required. In addition, when a device in the internal network is infected with malware that performs a targeted attack, unauthorized communication such as confidential information being transmitted to the outside without permission is performed by the infected device, or in the internal network Infect other devices with malware.
標的型攻撃に対する従来のセキュリティ技術としては、不正な通信を行っている端末を特定して、内部ネットワークの管理者などに通知するものが知られている。この場合、通知を受けた管理者は、不正な通信を行っている端末の設置場所に行き、その端末からLANケーブルなどを抜くなどして、端末の通信を遮断する必要があった。このため、不正な通信を行っている端末の数や設置場所によっては、管理者の負担が大きいという問題があった。 As a conventional security technique against a targeted attack, there is known a technique for identifying a terminal performing unauthorized communication and notifying an administrator of an internal network or the like. In this case, the administrator who has received the notification has to go to the installation location of the terminal performing unauthorized communication and disconnect the terminal communication by disconnecting the LAN cable or the like from the terminal. For this reason, there is a problem that the burden on the administrator is heavy depending on the number of terminals that perform unauthorized communication and the installation location.
これに対して特許文献1に記載の通信管理装置は、不正な通信を行った端末を特定し、その特定した端末と接続されているネットワークスイッチ装置の通信を遮断している。このため、管理者が端末の設置場所に行かなくても、不正な通信を遮断することが可能になり、管理者の負担を軽減することが可能になる。
On the other hand, the communication management device described in
しかしながら、ネットワークスイッチ装置には、通常、複数の端末が接続されているため、特許文献1に記載の技術において、不正な通信を行った不正端末と接続されているネットワークスイッチ装置の通信を遮断すると、そのネットワークスイッチ装置に接続されている不正端末以外の端末の通信まで遮断されてしまうことがある。このため、細やかなセキュリティ制御を行うことができないという問題がある。
However, since a plurality of terminals are normally connected to the network switch device, in the technique described in
本発明の目的は、管理者の負担を軽減しつつ、細やかなセキュリティ制御を行うことが可能なセキュリティ制御装置、セキュリティ制御システム、セキュリティ制御方法およびプログラムを提供することである。 An object of the present invention is to provide a security control device, a security control system, a security control method, and a program capable of performing fine security control while reducing the burden on an administrator.
本発明によるセキュリティ制御装置は、監視対象のネットワークに接続された情報処理装置のうち不正な通信を行った不正装置を特定する識別情報を受信する通信部と、前記通信部が受信した識別情報にて特定される不正装置に対して、前記ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信する制御部と、を有する。 A security control device according to the present invention includes: a communication unit that receives identification information that identifies an unauthorized device that has performed unauthorized communication among information processing devices connected to a monitored network; and the identification information received by the communication unit. And a control unit that transmits a quarantine instruction for instructing execution of a quarantine process for quarantine from the network.
本発明によるセキュリティ制御システムは、監視対象のネットワークに接続された情報処理装置と、前記ネットワークのセキィリティを制御するセキュリティ制御装置とを含むセキュリティ制御システムであって、前記セキュリティ制御装置は、前記ネットワークに接続された情報処理装置のうち不正な通信を行った不正装置を特定する識別情報を受信する通信部と、前記通信部が受信した識別情報にて特定される不正装置に対して、前記ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信する制御部と、を有し、前記情報処理装置は、前記隔離指示を受信する受信部と、前記受信部が前記隔離指示を受信した場合、前記隔離処理を実行する処理部と、を有する。 A security control system according to the present invention is a security control system including an information processing device connected to a network to be monitored and a security control device that controls the security of the network, and the security control device is connected to the network. A communication unit that receives identification information that identifies an unauthorized device that performed unauthorized communication among connected information processing devices, and an unauthorized device that is identified by the identification information received by the communication unit, from the network A control unit that transmits a quarantine instruction that instructs execution of a quarantine process to be quarantined, and the information processing apparatus receives the quarantine instruction, and when the receiving unit receives the quarantine instruction, And a processing unit that executes the isolation process.
本発明によるセキュリティ制御方法は、監視対象のネットワークに接続された情報処理装置のうち不正な通信を行った不正装置を特定する識別情報を受信するステップと、前記受信された識別情報にて特定される不正装置に対して、前記ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信するステップと、を含む。 The security control method according to the present invention is specified by the step of receiving identification information for identifying an unauthorized device that has performed unauthorized communication among information processing devices connected to a monitored network, and the identification information received. Transmitting a quarantine instruction to instruct execution of a quarantine process for quarantine from the network.
本発明によるプログラムは、コンピュータに、監視対象のネットワークに接続された情報処理装置のうち不正な通信を行った不正装置を特定する識別情報を受信する手順と、前記受信された識別情報にて特定される不正装置に対して、前記ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信する手順と、を実行させる。 A program according to the present invention is specified by a procedure for receiving identification information for identifying an unauthorized device that has performed unauthorized communication among information processing devices connected to a network to be monitored, and the received identification information. And a procedure for transmitting a quarantine instruction to instruct execution of a quarantine process for quarantine from the network.
本発明によれば、管理者の負担を軽減しつつ、細やかなセキュリティ制御を行うことが可能になる。 According to the present invention, it is possible to perform fine security control while reducing the burden on the administrator.
以下、本発明の実施形態について図面を参照して説明する。なお、各図面において同じ機能を有するものには同じ符号を付け、その説明を省略する場合がある。 Embodiments of the present invention will be described below with reference to the drawings. In addition, in each drawing, the same code | symbol is attached | subjected to what has the same function, and the description may be abbreviate | omitted.
図1は、本発明の第1の実施形態のセキュリティ制御システムを示す図である。図1において、セキュリティ制御システムは、資産管理サーバ1と、駆除プログラム提供装置2と、FW装置3と、プロキシサーバ4と、制限プロキシサーバ5と、標的型攻撃監視装置6と、内部セキュリティ制御装置7と、端末8A〜8Cとを有する。これらの装置は、専用装置やサーバで構成されてもよいし、汎用コンピュータなどで構成されてもよい。汎用コンピュータとしては、例えば、パーソナルコンピュータ、タブレット型コンピュータおよびスマートフォンなどが挙げられる。
FIG. 1 is a diagram showing a security control system according to the first embodiment of this invention. In FIG. 1, the security control system includes an
また、資産管理サーバ1および駆除プログラム提供装置2は、外部ネットワーク11に接続され、プロキシサーバ4、制限プロキシサーバ5、標的型攻撃監視装置6および内部セキュリティ制御装置7は、DMZ(DeMilitarized Zone)12に接続され、端末8A〜8Cは内部ネットワーク13に接続される。外部ネットワーク11は、例えば、インターネットなどである。内部ネットワーク13は、例えば、LANなどである。また、外部ネットワーク11、DMZ12および内部ネットワーク13は、有線ネットワークでもよいし、無線ネットワークでもよい。
The
DMZ12は、外部ネットワーク11と内部ネットワーク13間に設置され、FW装置3によって外部ネットワーク11からも、内部ネットワーク13からも隔離されたネットワークである。外部ネットワーク11からの通信はDMZ12に入れるが、外部ネットワーク11から内部ネットワーク13へ直接通信はできない。また、内部ネットワーク13からの通信はDMZ12に入れるが、内部ネットワーク13から外部ネットワーク11へ直接通信はできない。内部ネットワーク13から外部ネットワーク11へ通信する際は、プロキシサーバ4または制限プロキシサーバ5等を経由して通信する。具体的には、外部ネットワーク11、DMZ12および内部ネットワーク13は、FW装置3によって、それぞれ他のネットワークと隔離されている。なお、DMZ12および内部ネットワーク13は、このようにFW装置3によって互いに物理的に隔離されることが望ましいが、仮想LANなどを用いて互いに論理的に隔離されていてもよいし、同一のネットワークでもよい。また、FW装置3を外部ネットワーク11とDMZ12の間と、DMZ12と内部ネットワーク13間にそれぞれ設けても構わない。
The
資産管理サーバ1は、端末8A〜8Cを管理する管理装置であり、内部セキュリティ制御装置7からの種々の指示を端末8A〜8Cに転送する機能や、これらの指示に対する端末8A〜8Cからの応答である種々の通知を内部セキュリティ制御装置7に転送する機能を有する。図2は、資産管理サーバ1の構成例を示すブロック図である。図2に示すように資産管理サーバ1は、サーバ通信部101と、管理部102とを有する。
The
サーバ通信部101は、内部セキュリティ制御装置7から、端末8A〜8Cのうち不正な通信を行った端末である感染端末に対する種々の指示を受信する。指示としては、内部ネットワーク13から隔離する隔離処理の実行を指示する隔離指示と、不正な通信を行う不正プログラムを駆除する駆除処理の実行を指示する駆除指示と、感染端末に対して内部ネットワーク13からの隔離を解除する隔離解除処理の実行を指示する隔離解除指示とがある。また、サーバ通信部101は、感染端末から、上記の指示に対する応答として、隔離処理の処理結果を示す隔離処理結果通知と、駆除処理の処理結果を示す駆除処理結果通知と、隔離解除処理の処理結果を示す解除処理結果通知とを受信する。
The
感染端末は、不正プログラムがインストールされている可能性がある端末であり、不正装置と呼ばれることもある。隔離指示、駆除指示および隔離解除指示には、感染端末を特定する識別情報を含む。識別情報は、本実施形態では、IPアドレスとするが、IPアドレスの代わりに、MAC(Media Access Control)アドレスやホスト名などの他の情報が使用されてもよい。隔離指示は、実行する隔離処理の種別をさらに指示してもよい。具体的には、隔離指示は、隔離処理の種別を示す種別情報を含み、実行する隔離処理の種別として種別情報が示す種別を指示する。隔離処理の種別についてのより詳細な説明は後述する。駆除指示は、不正プログラムを駆除するための駆除プログラムにより不正プログラムを駆除する駆除処理の実行を指示するであり、その駆除プログラムが記憶された記憶場所を示す記憶場所情報を含む。記憶場所情報は、本実施形態では、URL(Uniform Resource Locator)とするが、他の情報でもよい。 An infected terminal is a terminal in which a malicious program may be installed, and is sometimes called an unauthorized device. The quarantine instruction, the removal instruction, and the quarantine release instruction include identification information that identifies the infected terminal. The identification information is an IP address in this embodiment, but other information such as a MAC (Media Access Control) address or a host name may be used instead of the IP address. The isolation instruction may further indicate the type of isolation processing to be executed. Specifically, the quarantine instruction includes type information indicating the type of the quarantine process, and indicates the type indicated by the type information as the type of quarantine process to be executed. A more detailed description of the type of isolation processing will be described later. The removal instruction is for instructing execution of a removal process for removing a malicious program by a removal program for removing a malicious program, and includes storage location information indicating a storage location where the removal program is stored. In this embodiment, the storage location information is a URL (Uniform Resource Locator), but may be other information.
サーバ通信部101が隔離指示を受信した場合、管理部102は、隔離指示内のIPアドレスにて特定される感染端末に対して、その隔離指示を隔離命令として送信する。サーバ通信部101が駆除指示を受信した場合、管理部102は、駆除指示内のIPアドレスにて特定される感染端末に対して、駆除指示を駆除命令として送信する。サーバ通信部101が隔離解除指示を受信した場合、管理部102は、隔離解除指示内のIPアドレスにて特定される感染端末に対して、隔離解除指示を隔離解除命令として送信する。なお、隔離命令、駆除命令および隔離解除命令には、感染端末を特定するIPアドレスが含まれていてもよいし、感染端末を特定するIPアドレスが管理部102にて除かれて含めなくされてもよい。管理部102が、隔離命令、駆除命令および隔離解除命令などの各種命令を、感染端末を含む端末8A〜8Cに送信するためには、例えば、FW装置3に対して資産管理サーバ1から端末8A〜8Cへの通信を予め許可させておいたり、端末8A〜8Cが既定のタイミング(例えば、定期的、既定の時間または起動時など)で資産管理サーバ1に各種命令を取得するように設定させておいたりする必要がある。しかしながら、本実施形態では、説明の簡略化のために、単に管理部102が各種命令を送信するものとして説明する。
When the
サーバ通信部101が隔離処理結果通知を受信した場合、管理部102は、隔離処理結果通知の送信元である感染端末のIPアドレスを取得し、そのIPアドレスを含めた隔離処理結果通知を内部セキュリティ制御装置7に送信する。サーバ通信部101が駆除処理結果通知を受信した場合、管理部102は、駆除処理結果通知の送信元である感染端末のIPアドレスを取得し、そのIPアドレスを含めた駆除処理結果通知を内部セキュリティ制御装置7に送信する。サーバ通信部101が解除処理結果通知を受信した場合、管理部102は、解除処理結果通知の送信元である感染端末のIPアドレスを取得し、そのIPアドレスを含めた解除処理結果通知を内部セキュリティ制御装置7に送信する。
When the
駆除プログラム提供装置2は、駆除プログラムを提供する提供装置である。具体的には、駆除プログラム提供装置2は、駆除プログラムを記憶し、内部セキュリティ制御装置7から、駆除プログラムを取得する旨の駆除プログラム要求を受信すると、記憶している駆除プログラムを内部セキュリティ制御装置7に送信する。
The removal
このとき、駆除プログラム提供装置2は、駆除プログラム要求の送信元を認証し、認証が成功した場合に駆除プログラムを送信してもよい。例えば、駆除プログラム提供装置2は、駆除プログラム要求の送信元を認証する認証情報を予め記憶し、その記憶された認証情報と、駆除プログラム要求に含まれる認証情報とを照合する。そして、駆除プログラム提供装置2は、それらの認証情報が一致していれば、認証を成功と判断し、それらの認証情報が一致していない場合、認証を失敗と判断する。認証情報は、特に限定されないが、例えば、内部セキュリティ制御装置7の管理者を特定するユーザIDと、パスワードとの組などである。
At this time, the removal
FW装置3は、外部ネットワーク11、DMZ12および内部ネットワーク13を分離する。なお、FW装置3については、当業者にとって良く知られた技術であるため、その詳細な説明は省略する。
The
プロキシサーバ4および制限プロキシサーバ5は、端末8A〜8Cの通信を中継する中継装置である。プロキシサーバ4および制限プロキシサーバ5は、端末8A〜8Cの通信先を規定するポリシーを有し、端末8A〜8Cの通信先をそのポリシーに適合した通信先に制限する。プロキシサーバ4のポリシーは、特に限定されない。例えば、プロキシサーバ4のポリシーは、端末8A〜8Cの通信先を制限しない(全ての通信先を許可する)ものでもよいし、公序良俗に反するデータを提供するサーバのような所定の装置との通信を許可しないものでもよい。制限プロキシサーバ5は、端末8A〜8Cの通信先を特定の装置に制限するポリシーを有する。特定の装置は、本実施形態では、資産管理サーバ1である。なお、プロキシサーバ4および制限プロキシサーバ5は、別々の装置で構成されてもよいし、同一の装置で構成され、ポリシーによって区別されてもよい。
The
標的型攻撃監視装置6は、監視対象のネットワークである内部ネットワーク13における不正な通信を監視し、内部ネットワーク13に接続された端末8A〜8Cのうち不正な通信を行った端末である感染端末を特定する。具体的には、標的型攻撃監視装置6は、端末8A〜8Cが送信し、FW装置3やルーター(図示せず)などのネットワーク装置を通る送信データを監視し、その送信データが不正なデータか否かを判断する。標的型攻撃監視装置6は、その送信データが不正なデータであると判断すると、その送信データを送信した端末を感染端末として特定する。標的型攻撃監視装置6は、感染端末を特定すると、不正な通信を検知した旨のアラートを内部セキュリティ制御装置7に送信する。アラートは、感染端末のIPアドレスを含む。
The target-type
内部セキュリティ制御装置7は、内部ネットワーク13のセキュリティを制御するセキュリティ制御装置である。図3は、内部セキュリティ制御装置7の構成例を示すブロック図である。図3に示す内部セキュリティ制御装置7は、通信部701と、記憶部702と、制御部703とを有する。
The internal
通信部701は、標的型攻撃監視装置6からアラートを受信し、資産管理サーバ1から隔離処理結果通知、駆除処理結果通知および解除処理結果通知を受信し、駆除プログラム提供装置2から駆除プログラムを受信し、端末8A〜8Cから駆除プログラム要求を受信する。なお、アラートには感染端末のIPアドレスが含まれているため、通信部701は、感染端末を特定する識別情報であるIPアドレスを受信することになる。
The communication unit 701 receives an alert from the target
記憶部702は、駆除プログラム提供装置2にて内部セキュリティ制御装置7を認証するための認証情報と、内部セキュリティ制御装置7の管理者の連絡先とを記憶する。連絡先は、例えば、電子メールアドレスなどである。
The storage unit 702 stores authentication information for authenticating the internal
通信部701がアラートを受信した場合、制御部703は、そのアラート内のIPアドレスにて特定される感染端末に対して、資産管理サーバ1を介して隔離指示を送信する。このとき、制御部703は、隔離指示に、隔離処理の種別を示す種別情報を含ませることで、感染端末に対して、その感染端末が実行する隔離処理の種別を指示してもよい。
When the communication unit 701 receives the alert, the control unit 703 transmits an isolation instruction via the
通信部701が隔離処理結果通知を受信した場合、制御部703は、隔離処理結果通知が隔離処理の成功を示すか否かを確認する。隔離処理が失敗の場合、制御部703は、記憶部702に記憶された管理者の連絡先宛に、隔離処理が失敗した旨の隔離エラー通知を送信する。なお、隔離エラー通知は、感染端末のIPアドレスなどの識別情報を含むことが望ましい。 When the communication unit 701 receives the isolation process result notification, the control unit 703 checks whether or not the isolation process result notification indicates the success of the isolation process. When the quarantine process has failed, the control unit 703 transmits a quarantine error notification indicating that the quarantine process has failed to the administrator's contact information stored in the storage unit 702. Note that the isolation error notification desirably includes identification information such as the IP address of the infected terminal.
隔離処理が成功の場合、制御部703は、駆除プログラムを感染端末に提供する。具体的には、先ず、制御部703は、駆除プログラム要求を駆除プログラム提供装置2に送信する。このとき、駆除プログラム提供装置2にて認証が行われる場合、制御部703は、記憶部702に記憶された認証情報を駆除プログラム要求に含ませる。
If the quarantine process is successful, the control unit 703 provides the removal program to the infected terminal. Specifically, first, the control unit 703 transmits a removal program request to the removal
続いて、通信部701が駆除プログラムを受信すると、制御部703は、その駆除プログラムを所定の記憶場所に記憶し、その記憶場所を示すURLを取得する。そして、制御部703は、アラート内のIPアドレスにて特定される感染端末に対して駆除指示を、資産管理サーバ1を介して送信する。その後、通信部701が駆除プログラム要求を受信すると、制御部703は、記憶した駆除プログラムを感染端末に提供する。本実施形態では、駆除プログラムの記憶場所は、記憶部702であるとするが、この例に限らない。例えば、駆除プログラムを記憶する記憶装置が内部セキュリティ制御装置7とは別に設けられてもよい。
Subsequently, when the communication unit 701 receives the removal program, the control unit 703 stores the removal program in a predetermined storage location and acquires a URL indicating the storage location. Then, the control unit 703 transmits a removal instruction to the infected terminal specified by the IP address in the alert via the
また、通信部701が駆除処理結果通知を受信した場合、制御部703は、その駆除処理結果通知が不正プログラムの非検出または駆除処理の成功を示すか否かを判断する。不正プログラムが非検出の場合、制御部703は、駆除処理結果通知内のIPアドレスにて特定される感染端末に対して、解除指示を、資産管理サーバ1を介して送信する。また、不正プログラムが検出、かつ駆除処理が失敗の場合、制御部703は、以下の第1の処理および第2の処理の少なくとも一方を行う。また、不正プログラムが検出、かつ駆除処理が成功の場合は、制御部703が、駆除処理結果通知内のIPアドレスにて特定される感染端末に対して、解除指示を、資産管理サーバ1を介して送信するようにしてもよいし、制御部703が、以下の第1の処理および第2の処理の少なくとも一方を行うようにしてもよい。
When the communication unit 701 receives the removal process result notification, the control unit 703 determines whether or not the removal process result notification indicates that the malicious program is not detected or the removal process is successful. When the malicious program is not detected, the control unit 703 transmits a cancellation instruction via the
第1の処理では、制御部703は、隔離指示を、資産管理サーバ1を介して感染端末に再び送信することで、感染端末に対して隔離処理の実行を再び指示する。このとき、制御部703は、隔離指示に、所定の隔離処理を示す種別情報を含ませることで、所定の駆除処理の実行を感染端末に指示することが望ましい。所定の駆除処理は、感染端末を内部ネットワーク13から隔離する強度である隔離強度が高い隔離処理であり、具体的には、後述するネットワークドライバを削除するドライバ削除処理である。
In the first process, the control unit 703 again sends an isolation instruction to the infected terminal via the
第2の処理では、制御部703は、記憶部702に記憶された管理者の連絡先宛に、駆除処理が失敗した旨の駆除エラー通知を送信する。なお、駆除エラー通知は、感染端末のIPアドレス(駆除処理結果通知内のIPアドレス)を含むことが望ましい。 In the second process, the control unit 703 transmits a removal error notification indicating that the removal process has failed to the administrator's contact information stored in the storage unit 702. The removal error notification desirably includes the IP address of the infected terminal (the IP address in the removal processing result notification).
通信部701が解除処理結果通知を受信した場合、制御部703は、その解除処理結果通知が隔離解除処理の成功を示すか否かを判断する。隔離解除処理が成功した場合、制御部703は、処理を終了する。隔離解除処理が失敗した場合、制御部703は、記憶部702に記憶された管理者の連絡先宛に、隔離解除処理が失敗した旨の解除エラー通知を送信する。なお、解除エラー通知は、感染端末のIPアドレス(解除処理結果通知内のIPアドレス)を含むことが望ましい。 When the communication unit 701 receives the release processing result notification, the control unit 703 determines whether the release processing result notification indicates success of the quarantine release processing. When the isolation release process is successful, the control unit 703 ends the process. When the quarantine release process has failed, the control unit 703 transmits a release error notification indicating that the quarantine release process has failed to the administrator's contact information stored in the storage unit 702. The release error notification desirably includes the IP address of the infected terminal (IP address in the release processing result notification).
端末8A〜8Cは、内部ネットワーク13に接続された情報処理装置である。なお、情報処理装置としては、端末8A〜8Cに加えて、または、端末8A〜8Cに代えて、サーバなどの他の装置が用いられてもよい。また、端末(情報処理装置)の数は、特に限定されない。
The
端末8A〜8Cは全て同じ構成を有するものとする。このため、以下では、端末8Aを例にとって、端末8A〜8Cの構成を説明する。図4は、端末8Aの構成例を示すブロック図である。図4に示す端末8Aは、端末通信部801と、端末記憶部802と、処理部803とを有する。
The
端末通信部801は、資産管理サーバ1から隔離命令、駆除命令および隔離解除命令を受信する受信部である。また、端末通信部801は、内部セキュリティ制御装置7から駆除プログラムを受信する。
The
端末記憶部802は、端末8Aが通信を行うための通信設定情報と、処理部803の動作を規定するプログラムであるエージェントとを記憶する。通信設定情報は、本実施形態では、端末8Aの通信を中継するプロキシサーバを示すプロキシ設定情報、および、ネットワークドライバを含む。また、プロキシ設定情報は、レジストリにおけるプロキシサーバに関する設定ファイルや、ローカルネットワーク設定における現在の自動プロキシ構成ファイルなどである。
The
処理部803は、例えば、CPU(Central Processing Unit)であり、端末記憶部802に記憶されたエージェントを読み取り、その読み取ったプログラムをRAM(図示せず)に展開して実行することで、以下の処理を行う。なお、エージェントは、端末8Aの起動時に実行される常駐プログラムであることが望ましい。
The
端末通信部801が隔離命令を受信した場合、処理部803は、端末8Aを内部ネットワーク13から隔離する隔離処理を実行し、その処理結果を示す隔離処理結果通知を、資産管理サーバ1を介して内部セキュリティ制御装置7に送信する。隔離処理の種別としては、例えば、端末記憶部802に記憶されたプロキシ設定情報を所定の情報に変更する変更処理、プロキシ設定情報を削除する削除処理、所定の通信機能の実行を制限する制限処理、ネットワークドライバを削除するドライバ削除処理が挙げられる。処理部803は、複数種の隔離処理を実行してもよい。
When the
変更処理では、処理部803は、レジストリにおけるプロキシサーバの設定ファイルに記載されているプロキシサーバの定義を変更してもよいし、ローカルネットワーク設定における現在の自動プロキシ構成ファイルに記載されているプロキシサーバの定義を変更してもよい。プロキシ設定情報は、変更処理にて変更される前は、プロキシサーバ4を示すものとする。変更後のプロキシ設定情報である所定の情報としては、制限プロキシサーバ5を示す情報、存在しない架空のプロキシサーバを示す情報、プロキシサーバの定義として意味をなさない所定の文字列などが挙げられる。なお、プロキシサーバの定義は、URLやサーバ名(ProxyServername)などで表される。
In the change process, the
削除処理は、レジストリにおけるプロキシサーバの設定ファイルに記載されているプロキシサーバの定義を削除してもよいし、ローカルネットワーク設定における現在の自動プロキシ構成ファイルに記載されているプロキシサーバの定義を削除してもよい。制限処理は、例えば、所定の機能として、ブラウザやメーラーのような通信を行うアプリケーションの実行や、Webページの取得や電子メールの送信のようなアプリケーションの通信に係る機能の実行などを制限(例えば、禁止)する。制限処理にて制限される機能は、予め定められてもよいし、処理部803が通信を行うアプリケーションを検索することで決定されてもよいし、資産管理サーバ1または内部セキュリティ制御装置7から指示されてもよい。
The deletion process may delete the proxy server definition described in the proxy server configuration file in the registry, or delete the proxy server definition described in the current automatic proxy configuration file in the local network settings. May be. The restriction process restricts, for example, execution of an application that performs communication such as a browser or mailer as a predetermined function, execution of a function related to communication of an application such as acquisition of a web page or transmission of an e-mail (for example, ,Ban. The function restricted by the restriction process may be determined in advance, may be determined by searching for an application with which the
なお、制限処理では、不正なプログラムが直接通信をする場合に不正な通信を防止しづらく、削除処理では、別のプロキシサーバが自動的に選択されてしまう可能性があるため、感染端末を内部ネットワーク13から隔離する強度である隔離強度が比較的低い。これに対して変更処理やドライバ削除処理では、隔離強度が高く、特にドライバ削除処理の隔離強度は高い。また、隔離処理において、処理部803は、変更または削除するプロキシ設定情報やネットワークドライバをバックアップ情報として端末記憶部802にバックアップすることが望ましい。
In the restriction process, it is difficult to prevent unauthorized communication when an unauthorized program communicates directly. In the deletion process, another proxy server may be automatically selected. The isolation strength that is the strength for isolation from the
端末通信部801が駆除命令を受信した場合、処理部803は、駆除命令内のURLが示す記憶場所から駆除プログラムを取得し、その駆除プログラムを端末記憶部802に記憶する。本実施形態では、URLが内部セキュリティ制御装置7を示すため、処理部803は、内部セキュリティ制御装置7に対して駆除プログラム要求を送信し、その後、端末通信部801が受信した駆除プログラムを取得する。
When the
処理部803は、記憶した駆除プログラムを実行し、その駆除プログラムに従って動作することで、不正なプログラムを駆除する駆除処理を実行し、その処理結果を示す駆除処理結果通知を、資産管理サーバ1を介して内部セキュリティ制御装置7に送信する。駆除処理は、不正プログラムを検出する処理と、検出した不正プログラムを実際に駆除する処理とを含む。駆除処理結果通知は、不正プログラムが検出されたか否かと、検出された不正プログラムの駆除が成功したか否かとを示す。
The
不正なプログラムが非検出となる例としては、例えば、Webブラウザによって表示されたWebページに広告が含まれており、その広告が表示されている間にだけ、外部ネットワーク11に向けて何らかの通信が行われ、その広告の表示が終了すると、その通信が停止する場合が挙げられる。この場合、不正プログラムが端末8Aにインストールされていなくても、標的型攻撃監視装置6にて不正な通信が検出されることがあるが、不正プログラムが感染端末にインストールされてはいないので、駆除処理結果通知は、不正プログラムの非検出を示すことになる。
As an example in which an unauthorized program is not detected, for example, an advertisement is included in a Web page displayed by a Web browser, and some communication is made toward the external network 11 only while the advertisement is displayed. When the display of the advertisement is finished, the communication is stopped. In this case, even if a malicious program is not installed on the
端末通信部801が隔離解除命令を受信した場合、処理部803は、端末8Aの内部ネットワーク13からの隔離を解除する隔離解除処理を実行し、その処理結果を示す解除処理結果通知を、資産管理サーバ1を介して内部セキュリティ制御装置7に送信する。隔離解除処理は、端末記憶部802にバックアップしたプロキシ設定情報やネットワークドライバに基づいて、プロキシ設定情報やネットワークドライバを隔離処理の前の状態に戻す処理である。
When the
例えば、隔離処理として変更処理や削除処理が行われた場合、処理部803は、レジストリにおけるプロキシサーバの設定ファイルやローカルネットワーク設定における現在の自動プロキシ構成ファイルを、バックアップ情報として記憶したプロキシ設定情報に戻す。また、隔離処理として制限処理が行われた場合、処理部803は、通信機能の実行の制限を解除する。隔離処理としてドライバ削除処理が行われた場合、処理部803は、バックアップ情報として記憶したネットワークドライバを、通信に使用するネットワークドライバに戻す。なお、プロキシ設定情報やネットワークドライバが端末8A〜8Cに共通の場合などでは、処理部803がプロキシ設定情報やネットワークドライバをバックアップする代わりに、端末8A〜8Cが使用するプロキシ設定情報やネットワークドライバを資産管理サーバ1や内部セキュリティ制御装置7に予め記憶させておいてもよい。この場合、処理部803は、隔離解除処理において、資産管理サーバ1や内部セキュリティ制御装置7からプロキシ設定情報やネットワークドライバをダウンロードし、そのダウンロードしたプロキシ設定情報やネットワークドライバに基づいて、プロキシ設定情報やネットワークドライバを隔離処理の前の状態に戻す。
For example, when change processing or deletion processing is performed as quarantine processing, the
なお、処理部803は、端末8A〜8Cのユーザを特定するユーザ名やMACアドレスなどのような資産情報や、端末8Aが有するUSB(Universal Serial Bus)端子などを使う通信機能を示す機能情報やレジストリ設定情報のような種々の設定情報などの情報を取得して資産管理サーバ1に送信する機能を有してもよい。この場合、資産管理サーバ1の管理部102は、処理部803から送信されたこれらの情報を取得し、その情報の一部または全部を所定のタイミングで内部セキュリティ制御装置7に送信してもよい。所定のタイミングは、例えば、サーバ通信部101が隔離指示を受信したタイミングや、隔離処理結果通知、駆除処理結果通知や解除処理結果通知を送信するタイミングなどである。
The
次に動作を説明する。図5は、不正な通信が検出された際のセキュリティ制御システムの動作例を説明するためのシーケンス図である。 Next, the operation will be described. FIG. 5 is a sequence diagram for explaining an operation example of the security control system when an unauthorized communication is detected.
先ず、標的型攻撃監視装置6は、端末8A〜8Cが送信した送信データを監視し、その送信データが不正なデータか否かを判断する。標的型攻撃監視装置6は、その送信データが不正なデータであると判断すると、不正な通信が行われたと判断し、その送信データから、その送信データの送信元のIPアドレスを感染端末のIPアドレスとして取得する(ステップS501)。そして、標的型攻撃監視装置6は、取得したIPアドレスを含むアラートを、DMZ12を介して内部セキュリティ制御装置7に送信する(ステップS502)。なお、以下では、不正なデータを送信した端末である感染端末を端末8Aとし、端末8Aを感染端末8Aと称する。
First, the target-type
内部セキュリティ制御装置7の通信部701は、アラートを受信すると、そのアラートを制御部703に送信する。制御部703は、アラートを受信すると、そのアラートから感染端末のIPアドレスを取得し、そのIPアドレスを含む隔離指示を、通信部701、DMZ12、FW装置3および外部ネットワーク11を介して資産管理サーバ1に送信する(ステップS503)。
When the communication unit 701 of the internal
資産管理サーバ1のサーバ通信部101は、隔離指示を受信すると、その隔離指示を管理部102に送信する。管理部102は、隔離指示を受信すると、その隔離指示から感染端末のIPアドレスを取得する。管理部102は、取得した感染端末のIPアドレスにて特定される感染端末8Aに対して、IPアドレスを除いた隔離指示に基づいた隔離命令を、サーバ通信部101、外部ネットワーク11、FW装置3および内部ネットワーク13を介して送信する(ステップS504)。
When the
感染端末8Aの端末通信部801は、隔離命令を受信すると、その隔離命令を処理部803に送信する。処理部803は、隔離命令を受信すると、隔離処理を実行する(ステップS505)。なお、処理部803が行う隔離処理の種別は、処理部803に予め設定されていてもよいし、隔離命令に含まれる種別情報が示す種別でもよい。また、処理部803は、隔離命令に種別情報が含まれていない場合に、予め設定された隔離処理を実行し、隔離命令に種別情報が含まれている場合、その種別情報が示す種別の隔離処理を実行してもよい。
Upon receiving the isolation command, the
隔離処理が終了すると、処理部803は、隔離処理の処理結果を示す隔離処理結果通知を、端末通信部801、内部ネットワーク13、FW装置3および外部ネットワーク11を介して資産管理サーバ1に送信する(ステップS506)。
When the quarantine process is completed, the
資産管理サーバ1のサーバ通信部101は、隔離処理結果通知を受信すると、その隔離処理結果通知を管理部102に送信する。管理部102は、隔離処理結果通知を受信すると、隔離処理結果通知の送信元のIPアドレスを感染端末8AのIPアドレスとして隔離処理結果通知に加え、そのIPアドレスを加えた隔離処理結果通知を、サーバ通信部101、外部ネットワーク11、FW装置3およびDMZ12を介して内部セキュリティ制御装置7に送信する(ステップS507)。
When the
内部セキュリティ制御装置7の通信部701は、隔離処理結果通知を受信すると、その隔離処理結果通知を制御部703に送信する。制御部703は、隔離処理結果通知を受信すると、その隔離処理結果通知が隔離処理の成功を示すか否かを確認し、その確認結果に応じた処理を行う(ステップS508)。ここで、隔離処理結果通知が隔離処理の失敗を示す場合、制御部703は、記憶部702から管理者の連絡先を取得し、その取得した連絡先宛に隔離エラー通知を送信し、処理を終了する。
When the communication unit 701 of the internal
以下、隔離処理結果通知が隔離処理の成功を示す場合について詳細に説明する。図6は、ステップS508において隔離処理結果通知が隔離処理の成功を示す場合のセキュリティ制御システムの動作例を説明するためのシーケンス図である。 Hereinafter, a case where the quarantine process result notification indicates the success of the quarantine process will be described in detail. FIG. 6 is a sequence diagram for explaining an operation example of the security control system when the quarantine process result notification indicates the success of the quarantine process in step S508.
隔離処理結果通知が隔離処理の成功を示す場合、制御部703は、記憶部702から認証情報を取得し、その認証情報を含む駆除プログラム要求を、通信部701、DMZ12、FW装置3および外部ネットワーク11を介して駆除プログラム提供装置2に送信する(ステップS601)。
When the quarantine process result notification indicates that the quarantine process is successful, the control unit 703 acquires authentication information from the storage unit 702 and sends a removal program request including the authentication information to the communication unit 701,
駆除プログラム提供装置2は、駆除プログラム要求を受信すると、その駆除プログラム要求内の認証情報と、記憶している認証情報とを照合して、駆除プログラム要求の送信元の内部セキュリティ制御装置7を認証する。ここでは認証に成功したとする。この場合、駆除プログラム提供装置2は、記憶している駆除プログラムを、外部ネットワーク11、FW装置3およびDMZ12を介して内部セキュリティ制御装置7に送信する(ステップS602)。
Upon receipt of the removal program request, the removal
内部セキュリティ制御装置7の通信部701は、駆除プログラムを受信すると、その駆除プログラムを制御部703に送信する。制御部703は、駆除プログラムを受信すると、その駆除プログラムを記憶部702に記憶するとともに、その記憶場所を示すURLを生成する。そして、制御部703は、生成したURLとステップS508で受信した隔離処理結果通知内のIPアドレスとを含む駆除指示を、通信部701、DMZ12、FW装置3および外部ネットワーク11を介して資産管理サーバ1に送信する(ステップS603)。
When the communication unit 701 of the internal
資産管理サーバ1のサーバ通信部101は、駆除指示を受信すると、その駆除指示を管理部102に送信する。管理部102は、駆除指示を受信すると、その駆除指示からIPアドレスを取得する。管理部102は、取得したIPアドレスにて特定される感染端末8Aに対して、IPアドレスを除いた駆除指示に基づいた駆除命令を、サーバ通信部101、外部ネットワーク11、FW装置3および内部ネットワーク13を介して送信する(ステップS604)。
Upon receiving the removal instruction, the
感染端末8Aの端末通信部801は、駆除命令を受信すると、その駆除命令を処理部803に送信する。処理部803は、駆除命令を受信すると、その駆除命令からURLを取得し、そのURLが示す内部セキュリティ制御装置7に対して、駆除プログラム要求を、端末通信部801、内部ネットワーク13、FW装置3およびDMZ12を介して送信する(ステップS605)。
Upon receiving the removal command, the
内部セキュリティ制御装置7の通信部701は、駆除プログラム要求を受信すると、その駆除プログラム要求を制御部703に送信する。制御部703は、駆除プログラム要求を受信すると、記憶部702から駆除プログラムを取得し、その駆除プログラムを、駆除プログラム要求の送信元である感染端末8Aに対して、通信部701、DMZ12、FW装置3および内部ネットワーク13を介して送信する(ステップS606)。
Upon receiving the removal program request, the communication unit 701 of the internal
感染端末8Aの端末通信部801は、駆除プログラムを受信すると、その駆除プログラムを処理部803に送信する。処理部803は、駆除プログラムを受信すると、駆除プログラムを端末記憶部802に記憶し、その記憶した駆除プログラムをRAM(図示せず)に展開して実行することで、駆除処理を実行する(ステップS607)。
Upon receiving the removal program, the
駆除処理が終了すると、処理部803は、その駆除処理の処理結果を示す駆除処理結果通知を、端末通信部801、内部ネットワーク13、FW装置3および外部ネットワーク11を介して資産管理サーバ1に送信する(ステップS608)。
When the removal process ends, the
資産管理サーバ1のサーバ通信部101は、駆除処理結果通知を受信すると、その駆除処理結果通知を管理部102に送信する。管理部102は、駆除処理結果通知を受信すると、駆除処理結果通知の送信元のIPアドレスを感染端末8AのIPアドレスとして駆除処理結果通知に加え、そのIPアドレスを加えた駆除処理結果通知を、サーバ通信部101、外部ネットワーク11、FW装置3およびDMZ12を介して内部セキュリティ制御装置7に送信する(ステップS609)。
Upon receiving the removal process result notification, the
内部セキュリティ制御装置7の通信部701は、駆除処理結果通知を受信すると、その駆除処理結果通知を制御部703に送信する。制御部703は、駆除処理結果通知を受信すると、その駆除処理結果通知が不正プログラムの非検出または駆除処理の成功を示すか否かを確認する。ここでは、駆除処理結果通知が不正プログラムの非検出を示したとする。この場合、制御部703は、駆除処理結果通知内のIPアドレスを含む隔離解除指示を、通信部701、DMZ12、FW装置3および外部ネットワーク11を介して資産管理サーバ1に送信する(ステップS610)。
Upon receiving the removal process result notification, the communication unit 701 of the internal
なお、駆除処理結果通知が不正プログラムの検出かつ駆除処理の失敗を示す場合、制御部703は、記憶部702から管理者の連絡先を取得し、その取得した連絡先宛に駆除エラー通知を送信し、処理を終了する。また、制御部703は、隔離処理の種別として所定の隔離処理(具体的には、ドライバ削除処理)を示す種別情報を含む隔離指示を、資産管理サーバ1を介して感染端末8Aに送信してもよい。この場合、感染端末8Aの処理部803で隔離処理としてドライバ削除処理が実行される。このため、感染端末8Aをより確実に隔離することが可能になる。また、駆除処理結果通知が不正プログラムの検出かつ駆除処理の成功を示す場合 、駆除処理結果通知が不正プログラムの非検出を示す場合と同様に、ステップS610の処理を行ってもよいし、駆除処理結果通知が不正プログラムの検出かつ駆除処理の失敗を示す場合の処理を行ってもよい。
When the removal process result notification indicates that the malicious program has been detected and the removal process has failed, the control unit 703 acquires the administrator's contact information from the storage unit 702 and transmits a removal error notification to the acquired contact information. Then, the process ends. In addition, the control unit 703 transmits an isolation instruction including type information indicating a predetermined isolation process (specifically, driver deletion process) as the isolation process type to the
資産管理サーバ1のサーバ通信部101は、隔離解除指示を受信すると、その隔離解除指示を管理部102に送信する。管理部102は、隔離解除指示を受信すると、その隔離解除指示からIPアドレスを取得する。管理部102は、取得したIPアドレスにて特定される感染端末8Aに対して、IPアドレスを除いた隔離解除指示に基づいた隔離解除命令を、サーバ通信部101、外部ネットワーク11、FW装置3および内部ネットワーク13を介して送信する(ステップS611)。
When the
感染端末8Aの端末通信部801は、隔離解除命令を受信すると、その隔離解除命令を処理部803に送信する。処理部803は、隔離解除命令を受信すると、隔離解除処理を実行する(ステップS612)。
Upon receiving the isolation release command, the
隔離解除処理が終了すると、処理部803は、隔離解除処理の処理結果を示す解除処理結果通知を、端末通信部801、内部ネットワーク13、FW装置3および外部ネットワーク11を介して資産管理サーバ1に送信する(ステップS613)。
When the quarantine release process ends, the
資産管理サーバ1のサーバ通信部101は、解除処理結果通知を受信すると、その解除処理結果通知を管理部102に送信する。管理部102は、解除処理結果通知を受信すると、解除処理結果通知の送信元のIPアドレスを感染端末8AのIPアドレスとして解除処理結果通知に加え、そのIPアドレスを加えた解除処理結果通知を、サーバ通信部101、外部ネットワーク11、FW装置3およびDMZ12を介して内部セキュリティ制御装置7に送信する(ステップS614)。
Upon receiving the release processing result notification, the
内部セキュリティ制御装置7の通信部701は、解除処理結果通知を受信すると、その解除処理結果通知を制御部703に送信する。制御部703は、解除処理結果通知を受信すると、その解除処理結果通知が隔離解除処理の成功を示すか否かを確認する(ステップS615)。隔離解除処理が成功の場合、制御部703は、処理を終了する。一方、隔離解除処理が失敗の場合、制御部703は、記憶部702から管理者の連絡先を取得し、その取得した連絡先宛に解除エラー通知を送信し、処理を終了する。
Upon receiving the release process result notification, the communication unit 701 of the internal
以上説明したように本実施形態によれば、内部セキュリティ制御装置7の通信部701は、不正な通信が行われた感染端末8Aを特定するIPアドレスを受信する。制御部703は、通信部701が受信したIPアドレスにて特定される感染端末8Aに対して、内部ネットワーク13から隔離する隔離処理の実行を指示する。また、感染端末8Aの端末通信部801は、隔離処理の実行の指示を受け付ける。処理部803は、端末通信部801がその指示を受け付けた場合、隔離処理を実行する。
As described above, according to the present embodiment, the communication unit 701 of the internal
したがって、不正な通信が行われた感染端末8A自身によって内部ネットワーク13から隔離する隔離処理が実行されるため、管理者が感染端末8Aの設置場所に行かずに、かつ、感染端末8A以外の情報処理装置の通信を遮断せずに、感染端末8Aによる不正な通信を遮断することが可能になる。したがって、管理者の負担を軽減しつつ、細やかなセキュリティ制御を行うことが可能になり、セキュリティが高まる。
Accordingly, since the isolation process for isolating from the
次に第2の実施形態について説明する。
本実施形態では、内部セキュリティ制御装置7の制御部703は、通信部701によるアラートの受信回数、すなわち感染端末8AのIPアドレスの受信回数に応じて、隔離処理の種別を決定する。
Next, a second embodiment will be described.
In the present embodiment, the control unit 703 of the internal
例えば、記憶部702は、IPアドレスごとに、そのIPアドレスを含むアラートの受信回数を示す制御情報を記憶する。制御部703は、通信部701がアラートを受信するたびに、そのアラートに含まれるIPアドレスに対応する受信回数をインクリメントする。そして、制御部703は、インクリメントした受信回数に応じて、隔離処理の種別を決定する。具体的には、制御部703は、受信回数が多いほど、隔離の強度が高い隔離処理を実行する。例えば、制御部703は、受信回数が1回の場合、隔離処理として制限処理を指定し、受信回数が2回以上の場合、隔離処理として削除処理を指定する。また、制御部703は、受信回数が1回の場合、隔離処理として制限処理を指定し、受信回数が2回の場合、削除処理を指定し、受信回数が3回以上の場合、ドライバ削除処理を実行してもよい。 For example, the storage unit 702 stores, for each IP address, control information indicating the number of times alerts including the IP address are received. Each time the communication unit 701 receives an alert, the control unit 703 increments the number of receptions corresponding to the IP address included in the alert. Then, the control unit 703 determines the type of isolation processing according to the incremented number of receptions. Specifically, the control unit 703 executes isolation processing with higher isolation strength as the number of receptions increases. For example, when the number of receptions is 1, the control unit 703 designates a restriction process as the isolation process, and when the number of receptions is 2 or more, the control unit 703 designates a deletion process as the isolation process. In addition, the control unit 703 designates a restriction process as the isolation process when the number of receptions is one, designates a deletion process when the number of receptions is two, and designates a deletion process when the number of receptions is three or more. May be executed.
また、受信回数は、所定の期間にアラートが受信された回数でもよい。この場合、例えば、制御部703は、隔離処理結果通知が隔離処理の成功を示してから駆除処理結果通知を受信するまでの期間にアラートを受信すると、受信回数をインクリメントする。 Further, the number of receptions may be the number of times an alert has been received in a predetermined period. In this case, for example, if the control unit 703 receives an alert during a period from when the isolation process result notification indicates that the isolation process is successful until the removal process result notification is received, the control unit 703 increments the reception count.
以上説明したように本実施形態によれば、アラートの受信回数に応じて隔離処理の種別が決定されるので、ある隔離処理では不正な通信を遮断することができなくても、別の隔離処理を用いて不正な通信を遮断することが可能になるため、より精度の高いセキュリティ制御が可能になる。 As described above, according to the present embodiment, since the type of the quarantine process is determined according to the number of times the alert is received, even if a certain quarantine process cannot block unauthorized communication, another quarantine process is performed. Since it is possible to block unauthorized communication using, more accurate security control is possible.
以上説明した各実施形態において、図示した構成は単なる一例であって、本発明はその構成に限定されるものではない。 In each embodiment described above, the illustrated configuration is merely an example, and the present invention is not limited to the configuration.
例えば、セキュリティ制御システムの各装置の機能は、その機能を実現するためのプログラムを、コンピュータにて読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ実行させることで、実現されてもよい。 For example, the function of each device of the security control system records a program for realizing the function on a computer-readable recording medium, and causes the computer to read and execute the program recorded on the recording medium. That may be realized.
また、資産管理サーバ1は、外部ネットワーク11上に配置されていたが、DMZ12上または内部ネットワーク13上に配置されてもよい。プロキシサーバ4と、制限プロキシサーバ5と、標的型攻撃監視装置6と、内部セキュリティ制御装置7は、DMZ12上に配置されていたが、内部ネットワーク13上に配置されてもよい。また、隔離指示、駆除指示および隔離解除指示は、内部セキュリティ制御装置7から資産管理サーバ1を介さずに感染端末へ直接送信されてもよい。同様に、隔離処理結果通知、駆除処理結果通知および解除処理結果通知は、感染端末から資産管理サーバ1を介さずに内部セキュリティ制御装置7へ直接送信されてもよい。
Further, although the
また、端末8A〜8Cは、駆除プログラムを駆除プログラム提供装置2から取得してもよい。この場合、内部セキュリティ制御装置7の制御部703は、駆除プログラム要求を送信せずに、駆除プログラム提供装置2を示すURLを含む駆除指示を感染端末8Aに送信する。
Further, the
1 資産管理サーバ
2 駆除プログラム提供装置
3 FW装置
4 プロキシサーバ
5 制限プロキシサーバ
6 標的型攻撃監視装置
7 内部セキュリティ制御装置
8A〜8C 端末
11 外部ネットワーク
12 DMZ
13 内部ネットワーク
101 サーバ通信部
102 管理部
701 通信部
702 記憶部
703 制御部
801 端末通信部
802端末記憶部
803 処理部
DESCRIPTION OF
13
Claims (11)
前記通信部が受信した識別情報にて特定される不正装置に対して、前記ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信する制御部と、を有するセキュリティ制御装置。 A communication unit that receives identification information that identifies an unauthorized device that has performed unauthorized communication among information processing devices connected to a monitored network; and
And a control unit that transmits a quarantine instruction that instructs execution of a quarantine process for quarantine from the network to an unauthorized device specified by the identification information received by the communication unit.
前記制御部は、前記隔離処理の種別を、前記通信部による当該不正装置を特定する識別情報の受信回数に応じて決定する、請求項1に記載のセキュリティ装置。 The isolation instruction has a type of isolation processing to be executed by the unauthorized device,
The security device according to claim 1, wherein the control unit determines the type of the quarantine process according to the number of receptions of identification information for identifying the unauthorized device by the communication unit.
前記制御部は、前記処理結果が前記隔離処理の成功を示す場合、前記不正装置に対して、不正な通信を行うプログラムである不正プログラムを駆除する駆除プログラムを提供し、当該駆除プログラムにより前記不正プログラムを駆除する駆除処理の実行を指示する駆除指示を送信する、請求項1または2に記載のセキュリティ制御装置。 The communication unit receives a notification indicating a processing result of the quarantine process from the unauthorized device;
The control unit provides a removal program for removing an unauthorized program, which is a program for performing unauthorized communication, to the unauthorized device when the processing result indicates a success of the isolation process, and the unauthorized program performs the unauthorized program. The security control apparatus according to claim 1, wherein a removal instruction that instructs execution of a removal process for removing a program is transmitted.
前記制御部は、前記駆除処理の処理結果が前記不正プログラムの駆除の失敗を示す場合、前記不正装置に対して、前記隔離指示にて指示した隔離処理とは異なる所定の隔離処理の実行を指示する前記隔離指示を送信する、請求項3に記載のセキュリティ装置。 The communication unit receives a notification indicating a processing result of the removal process from the unauthorized device,
The control unit instructs the unauthorized device to execute a predetermined isolation process different from the isolation process instructed by the isolation instruction when the process result of the removal process indicates a failure to delete the malicious program. The security device according to claim 3, wherein the security instruction is transmitted.
前記制御部は、前記処理結果が前記不正プログラムの駆除の成功を示す場合、前記不正装置に対して、前記ネットワークからの隔離を解除する隔離解除処理の実行を指示する隔離解除指示を送信する、請求項3または4に記載のセキュリティ装置。 The communication unit receives a notification indicating a processing result of the removal process from the unauthorized device,
The control unit, when the processing result indicates successful removal of the unauthorized program, transmits to the unauthorized device an isolation release instruction that instructs execution of an isolation release process for releasing isolation from the network. The security device according to claim 3 or 4.
前記セキュリティ制御装置は、
前記ネットワークに接続された情報処理装置のうち不正な通信を行った不正装置を特定する識別情報を受信する通信部と、
前記通信部が受信した識別情報にて特定される不正装置に対して、前記ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信する制御部と、を有し、
前記情報処理装置は、
前記隔離指示を受信する受信部と、
前記受信部が前記隔離指示を受信した場合、前記隔離処理を実行する処理部と、を有する、セキュリティ制御システム。 A security control system including an information processing device connected to a monitored network and a security control device that controls security of the network,
The security control device
A communication unit that receives identification information for identifying an unauthorized device that performed unauthorized communication among the information processing devices connected to the network;
A control unit that transmits a quarantine instruction that instructs execution of a quarantine process for quarantine from the network to an unauthorized device identified by the identification information received by the communication unit;
The information processing apparatus includes:
A receiving unit for receiving the isolation instruction;
A security control system comprising: a processing unit that executes the isolation process when the reception unit receives the isolation instruction.
前記処理部は、前記隔離指示内の種別の隔離処理を実行する、請求項6ないし8のいずれか1項に記載のセキュリティ制御システム。 The isolation instruction has a type of isolation processing to be executed by the unauthorized device,
The security control system according to any one of claims 6 to 8, wherein the processing unit executes a type of isolation processing in the isolation instruction.
前記受信された識別情報にて特定される不正装置に対して、前記ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信するステップと、を含むセキュリティ制御方法。 Receiving identification information for identifying an unauthorized device that has performed unauthorized communication among information processing devices connected to a monitored network; and
Transmitting a quarantine instruction for instructing execution of a quarantine process for quarantine from the network to an unauthorized device specified by the received identification information.
監視対象のネットワークに接続された情報処理装置のうち不正な通信を行った不正装置を特定する識別情報を受信する手順と、
前記受信された識別情報にて特定される不正装置に対して、前記ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信する手順と、を実行させるためのプログラム。 On the computer,
A procedure for receiving identification information for identifying an unauthorized device that has performed unauthorized communication among information processing devices connected to a monitored network;
A program for causing a fraudulent device specified by the received identification information to execute an isolation instruction for instructing execution of an isolation process for isolation from the network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015187953A JP6226930B2 (en) | 2015-09-25 | 2015-09-25 | Security control device, security control system, security control method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015187953A JP6226930B2 (en) | 2015-09-25 | 2015-09-25 | Security control device, security control system, security control method and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017062669A true JP2017062669A (en) | 2017-03-30 |
JP6226930B2 JP6226930B2 (en) | 2017-11-08 |
Family
ID=58430158
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015187953A Active JP6226930B2 (en) | 2015-09-25 | 2015-09-25 | Security control device, security control system, security control method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6226930B2 (en) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004362012A (en) * | 2003-06-02 | 2004-12-24 | Hitachi Ltd | Automatic transaction device detecting unauthorized access and malicious program |
JP2006246407A (en) * | 2005-03-07 | 2006-09-14 | Sharp Corp | Communication control unit and image forming apparatus |
JP2009176137A (en) * | 2008-01-25 | 2009-08-06 | Sky Co Ltd | Virus suffering range prediction system |
JP2010193268A (en) * | 2009-02-19 | 2010-09-02 | Nec Corp | Network security system and method for isolating remote machine |
JP2010233153A (en) * | 2009-03-30 | 2010-10-14 | Nec Corp | Communication management device, communication management method, communication management program, and the like |
JP2012064208A (en) * | 2010-09-15 | 2012-03-29 | Chunghwa Telecom Co Ltd | Network virus prevention method and system |
-
2015
- 2015-09-25 JP JP2015187953A patent/JP6226930B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004362012A (en) * | 2003-06-02 | 2004-12-24 | Hitachi Ltd | Automatic transaction device detecting unauthorized access and malicious program |
JP2006246407A (en) * | 2005-03-07 | 2006-09-14 | Sharp Corp | Communication control unit and image forming apparatus |
JP2009176137A (en) * | 2008-01-25 | 2009-08-06 | Sky Co Ltd | Virus suffering range prediction system |
JP2010193268A (en) * | 2009-02-19 | 2010-09-02 | Nec Corp | Network security system and method for isolating remote machine |
US20110289580A1 (en) * | 2009-02-19 | 2011-11-24 | Hiroaki Onuma | Network security system and remote machine isolation method |
JP2010233153A (en) * | 2009-03-30 | 2010-10-14 | Nec Corp | Communication management device, communication management method, communication management program, and the like |
JP2012064208A (en) * | 2010-09-15 | 2012-03-29 | Chunghwa Telecom Co Ltd | Network virus prevention method and system |
Non-Patent Citations (1)
Title |
---|
"セキュリティ7大勘違い だから罠にハマる 勘違い1 ウイルスを見つけたらソッコーで退治 証拠をで", 日経SYSTEMS, vol. 第270号, JPN6017031299, 24 September 2015 (2015-09-24), JP, pages 23, ISSN: 0003623729 * |
Also Published As
Publication number | Publication date |
---|---|
JP6226930B2 (en) | 2017-11-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11036836B2 (en) | Systems and methods for providing real time security and access monitoring of a removable media device | |
EP3462698B1 (en) | System and method of cloud detection, investigation and elimination of targeted attacks | |
JP5029701B2 (en) | Virtual machine execution program, user authentication program, and information processing apparatus | |
US7818800B1 (en) | Method, system, and computer program product for blocking malicious program behaviors | |
JP6382196B2 (en) | System and method for providing a secure computing environment | |
EP2850803B1 (en) | Integrity monitoring to detect changes at network device for use in secure network access | |
US20170034189A1 (en) | Remediating ransomware | |
EP2866410B1 (en) | Apparatus for switching between multiple servers in a web-based system | |
US20090217346A1 (en) | Dhcp centric network access management through network device access control lists | |
US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
JP2008054204A (en) | Connection device, terminal device, and data confirmation program | |
US11487868B2 (en) | System, method, and apparatus for computer security | |
JP2008276457A (en) | Network protection program, network protection device, and network protection method | |
JP6226930B2 (en) | Security control device, security control system, security control method and program | |
KR20100085459A (en) | Personal information protecting device for using filtering network transferring data method thereof | |
KR20180044507A (en) | Network recovery system in advanced persistent threat | |
WO2015178002A1 (en) | Information processing device, information processing system, and communication history analysis method | |
JP4328637B2 (en) | Computer virus quarantine method | |
JP2010287932A (en) | Quarantine network system, access management device, access management method, and access management program | |
JP2008511046A (en) | Computer data protection methods | |
JP2005157421A (en) | Network security maintenance method, connection permission server, and program for connection permission server | |
JP6800902B2 (en) | Information processing equipment, information processing programs, recording media and information processing methods | |
WO2019048915A1 (en) | Remote access computer security | |
KR20180044506A (en) | System recovery method in advanced persistent threat | |
KR101654249B1 (en) | Communication interface security system for computer |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170815 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170822 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170927 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171003 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171010 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6226930 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |